Computer >> Máy Tính >  >> Hệ thống >> máy chủ Windows

Cách lọc Nhật ký sự kiện theo tên người dùng trong Windows 2008 trở lên

Trong Windows Server 2003 hoặc Windows XP, bạn có thể dễ dàng lọc các sự kiện trong hệ thống Trình xem nhật ký sự kiện theo tài khoản người dùng cụ thể nếu bạn nhập tên người dùng mong muốn vào trường Người dùng của bộ lọc nhật ký. Nhưng trong Windows Server 2008 / Windows 7, cách đơn giản này để tìm các sự kiện liên quan đến người dùng cụ thể không hoạt động.

Cách lọc Nhật ký sự kiện theo tên người dùng trong Windows 2008 trở lên

Trong Windows Server 2008, không có trường Người dùng trong bản trình bày chuẩn của nhật ký sự kiện. Hãy thử thêm nó bằng cách sử dụng View -> Thêm / Xóa cột tùy chọn menu.

Cách lọc Nhật ký sự kiện theo tên người dùng trong Windows 2008 trở lên

Bây giờ cột Người dùng đã xuất hiện trong bản trình bày nhật ký, nhưng tên của người dùng đã bắt đầu một sự kiện không được hiển thị trong cột này. Thay vào đó chúng ta có thể thấy N / A. Thông tin về tài khoản hiện có trong mô tả của chính sự kiện (trong các giá trị của ID bảo mật và Tên tài khoản trong ví dụ này). Làm cách nào để lọc các sự kiện trong nhật ký bây giờ?

Cách lọc Nhật ký sự kiện theo tên người dùng trong Windows 2008 trở lên

Để lọc các sự kiện theo tên người dùng (hoặc bất kỳ thuộc tính sự kiện nào khác) trong Windows Server 2008 trở lên, bạn có thể sử dụng sửa đổi thủ công của XML truy vấn ( XPath ).

Lưu ý . Trước đó, việc sử dụng XPath để tìm các sự kiện cụ thể trong nhật ký đã được xem xét trong bài viết Chạy một tác vụ đã lên lịch sau một tác vụ khác

Vì vậy, hãy mở nhật ký bạn cần trong Chế độ xem sự kiện (trong trường hợp của chúng tôi, đó là Bảo mật nhật ký) và chọn Lọc nhật ký hiện tại… trong menu ngữ cảnh.

Đi tới XML và chọn Chỉnh sửa truy vấn theo cách thủ công .

Cách lọc Nhật ký sự kiện theo tên người dùng trong Windows 2008 trở lên

Sao chép và dán mã sau cho phép chọn tất cả các sự kiện của người dùng cụ thể trong nhật ký (thay thế tên người dùng với tên tài khoản bạn cần).

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">* [EventData[Data[@Name='subjectUsername']='username']]</Select>
</Query>
</QueryList>

Cách lọc Nhật ký sự kiện theo tên người dùng trong Windows 2008 trở lên

Lưu các thay đổi trong bộ lọc và xem nhật ký. Chỉ các sự kiện liên quan đến tài khoản bạn đã chỉ định mới được lưu trong nhật ký.

Cách lọc Nhật ký sự kiện theo tên người dùng trong Windows 2008 trở lên
Ví dụ:nếu bạn cần lọc thêm các sự kiện cho người dùng và ID sự kiện 4624 (Một tài khoản đã được đăng nhập thành công) và 4625 (Một tài khoản không thể đăng nhập.), Bộ lọc XPath sẽ giống như sau:

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID=4624 or EventID=4625)]]</Select>
<Select Path="Security">* [EventData[Data[@Name='subjectUsername']='username']]</Select>
</Query>
</QueryList>